Security Lab

Email-Worm.Win32.Bagle.eg

Email-Worm.Win32.Bagle.eg

Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако прочие функции соответствуют червям семейства Bagle.

Вариант червя Bagle, в котором отсутствует функция саморазмножения, однако прочие функции соответствуют червям семейства Bagle. Он был разослан при помощи спам-рассылки.

Тело червя прикреплено к зараженному письму в виде аттача — ZIP-файла размером около 6 КБ. Внутри архива содержится файл червя с именем text.exe.

Червь представляет собой PE EXE-файл размером 10752 байта.

Инсталляция

После запуска червь копирует себя в системный каталог Windows с именем hloader_exe.exe:

  %System%\hloader_exe.exe
  

И затем регистрирует себя в ключах автозапуска системного реестра:

  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "auto_hloader_key"="%System%\hloader_exe.exe"
  

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также в системном каталоге Windows червь создает файл с именем hleader_dll.dll:

  %System%\hleader_dll.dll
  

Создаваемый файл имеет размер 5693 байта.

Распространение

Данная модификация червя самостоятельно не размножается. Она была разослана по спам-рассылке.

Действие

В создаваемом червем dll-файле содержится большой список URL, которые проверяются на наличие файлов.

В случае если по какому-то из этих адресов будет помещен файл, он будет загружен в систему и запущен. Подобная технология позволяет обновлять варианты червя на более новые или же устанавливать в систему любые другие вредоносные программы.

hleader_dll.dll содержит следующие URL адреса:

 
  
  http://1st-new-orleans-hotels.com
  http://202.44.52.38
  http://209.126.128.203
  http://25kadr.org
  http://65.108.195.73
  http://757555.ru
  http://80.146.233.41
  http://abtechsafety.com
  http://abtechsafety.com
  http://acentrum.pl
  http://adavenue.net
  http://adoptionscanada.ca
  http://adventecgroup.com
  http://africa-tours.de
  http://agenciaspublicidadinternet.com
  http://ahava.cafe24.com
  http://aibsnlea.org
  http://aikidan.com
  http://ala-bg.net
  http://alevibirligi.ch
  http://alfaclassic.sk
  http://allanconi.it
  http://allinfo.com.au
  http://americasenergyco.com
  http://amerykaameryka.com
  http://amistra.com
  http://analisisyconsultoria.com
  http://av2026.comex.ru
  http://calamarco.com
  http://ccooaytomadrid.org
  http://charlies-truckerpage.de
  http://drinkwater.ru
  http://eleceltek.com
  http://furdoszoba.info
  http://home.1000km.ru
  http://kepter.kz
  http://lifejacks.de
  http://mijusungdo.net
  http://oklens.co.jp
  http://phrmg.org
  http://s89.tku.edu.tw
  http://sacafterdark.net
  http://sarancha.ru
  http://template.nease.net
  http://tkdami.net
  http://virt33.kei.pl
  http://wunderlampe.com
  http://www.8ingatlan.hu
  http://www.a2zhostings.com
  http://www.abavitis.hu
  http://www.adamant-np.ru
  http://www.agroturystyka.artneo.pl
  http://www.americarising.com
  http://www.aro-tec.com
  http://www.barth.serwery.pl
  http://www.bmswijndepot.com
  http://www.etwas-mode.de
  http://www.leap.co.il
  http://www.OTT-INSIDE.de
  http://www.rewardst.com
  http://www.stanislawkowalczyk.netstrefa.com
  http://www.timecontrol.com.pl
  http://www.ubu.pl

Червь создает в корневом каталоге Windows папку с именем exefld, в которую сохраняет загружаемые файлы.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!